[发明专利]一种DDoS反射攻击防御方法、装置及其设备

说明书

本申请提供一种DDoS反射攻击防御方法、装置及其设备，该方法包括：根据指定服务类型的响应数据包与所述指定服务类型的请求数据包的数量差，确定是否发生针对所述指定服务类型的DDoS反射攻击；如果是，则丢弃针对所述指定服务类型的响应数据包。通过本申请的技术方案，提供一种更加可靠的针对DDoS反射攻击的防御方式，可以解决大量DDoS反射攻击的问题。

技术领域

本申请涉及互联网技术领域，尤其是涉及一种DDoS(Distributed Denial ofService，分布式拒绝服务)反射攻击防御方法、装置及其设备。

背景技术

DDoS攻击是指：借助于客户端/服务器技术，将多个计算机联合起来作为攻击平台，并对被攻击者进行DDoS攻击，从而成倍提高拒绝服务攻击的威力。DDoS反射攻击是指：针对互联网中某些服务开放的服务器，攻击者通过伪造被攻击者的地址，向该服务器发送请求报文，触发该服务器向被攻击者发送针对该请求报文的响应报文，当攻击者向服务器发送大量的请求报文时，可以触发服务器向被攻击者发送大量的响应报文，从而对被攻击者进行DDoS反射攻击。

DDoS攻击与DDoS反射攻击的区别在于：DDoS攻击是攻击者直接对被攻击者进行攻击，而DDoS反射攻击是攻击者借助于服务器对被攻击者进行攻击。

目前，已经存在针对DDoS攻击的防御方式，但是还没有针对DDoS反射攻击的防御方式，需要提供更加可靠的针对DDoS反射攻击的防御方式。

发明内容

本申请提供一种DDoS反射攻击防御方法，包括：

根据指定服务类型的响应数据包与所述指定服务类型的请求数据包的数量差，确定是否发生针对所述指定服务类型的DDoS反射攻击；

如果是，则丢弃针对所述指定服务类型的响应数据包。

本申请提供一种DDoS反射攻击防御方法，包括：

监测主机的指定服务类型的响应数据包和指定服务类型的请求数据包；

根据所述指定服务类型的响应数据包与所述指定服务类型的请求数据包的数量差，确定是否发生针对所述指定服务类型的DDoS反射攻击；

如果是，则对发送给所述主机的指定服务类型的响应数据包进行限流处理。

本申请提供一种DDoS反射攻击防御装置，包括：

确定模块，用于根据指定服务类型的响应数据包与所述指定服务类型的请求数据包的数量差，确定是否发生针对所述指定服务类型的DDoS反射攻击；

处理模块，用于当所述确定模块确定发生针对所述指定服务类型的DDoS反射攻击时，则丢弃针对所述指定服务类型的响应数据包。

本申请提供一种DDoS反射攻击防御装置，包括：

监测模块，用于监测主机的指定服务类型的响应数据包和请求数据包；

确定模块，用于根据所述指定服务类型的响应数据包与指定服务类型的请求数据包的数量差，确定是否发生针对所述指定服务类型的DDoS反射攻击；

处理模块，用于当确定结果为发生针对所述指定服务类型的DDoS反射攻击时，对发送给所述主机的指定服务类型的响应数据包进行限流处理。

本申请提供一种DDoS反射攻击防御设备，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；所述处理器用于执行机器可执行指令，以实现上述的方法步骤。